In prima linea per la sicurezza IT: dietro le quinte di Avira Password Manager. Parte II

L’ultima volta vi abbiamo portato dietro le quinte degli Avira Protection Labs, e poi abbiamo parlato con il team di Protezione identità, per capire come stava affrontando la folle situazione causata dal coronavirus e l’isolamento del lavoro da casa.

Oggi abbiamo scambiato due parole con Tim Gaiser, direttore di Avira Protezione identità, per saperne di più su Password Manager. Quali vantaggi offre un gestore di password, perché è più importante che mai e quanto è bravo l’utente medio a gestire le password? (Allarme spoiler: di solito siamo terribili!)

Inizieremo con le funzionalità principali: Avira Password Manager è l’app che genera e ricorda password uniche al posto vostro, esegue automaticamente l’accesso ai vostri account online, effettua il backup delle password e sincronizza le password e i dati di accesso su più dispositivi. Potete anche scrivere e memorizzare note sulle vostre password e sui vostri account online. Per una maggiore sicurezza, vi avvisa con una notifica se un account online è stato violato e consente di impostare un’autenticazione a due fattori al momento dell’accesso.

Ecco cosa abbiamo imparato da Tim Gaiser:

Molti dipendenti hanno trasferito i loro dati di lavoro da reti aziendali gestite in modo professionale a configurazioni Wi-Fi domestiche protette da password elementari. Hai riscontrato un aumento del numero di problemi di sicurezza informatica in questo periodo?

Gli attacchi informatici stanno prendendo piede. Credo che tutti abbiano notato l’aumento di email sospette inviate a indirizzi di posta elettronica privati. Sto anche monitorando con estrema attenzione le statistiche sui furti di identità pubblicate dalle aziende che osservano le attività sul dark web. Finora gli effetti non sono visibili, ma prevedo un aumento significativo dei furti di dati personali nei prossimi 6-12 mesi a causa della situazione attuale.

In base ai vostri rapporti, come descriveresti lo stato attuale della sicurezza delle password? Cosa è cambiato negli ultimi anni e cosa dovrebbe essere migliorato?

Nel complesso, il livello di sicurezza è ancora molto basso. Anche se moltissime persone sanno quanto sia importante scegliere password forti, la stragrande maggioranza di noi le gestisce ancora in modo inefficace. Migliorare la gestione delle password richiede una conoscenza approfondita, oltre alla disponibilità e al tempo.  All’interno del prodotto, facciamo del nostro meglio per accompagnare l’utente, passo dopo passo, in un percorso che lo aiuti ad adottare una migliore gestione delle password.

Come potete immaginare, non è facile. Abbiamo anche condotto uno studio durante il quale abbiamo istruito personalmente alcuni individui, per poi osservare per alcune settimane come utilizzavano un gestore di password. Volevamo riuscire a cogliere il loro momento “Eureka!” e trasferirlo nell’esperienza del nostro prodotto digitale. Questo percorso è appena iniziato.

Chi utilizza Avira Password Manager?

È uno strumento per tutti. Sappiamo che la nostra base di utenti tipica ha un’età compresa tra i 30 e i 60 anni. I più giovani di solito non hanno molti account online o non sono ancora consapevoli dei problemi legati all’uso di password deboli e vulnerabili. Le persone anziane spesso si sentono soggiogate all’idea di dover usare uno strumento aggiuntivo.

Guardando le nostre statistiche sull’utilizzo anonime, abbiamo scoperto che l’uso attivo dei prodotti nei giorni feriali è circa il 40% più alto rispetto ai fine settimana. Questo ci mostra che le persone utilizzano il nostro Password Manager al lavoro e probabilmente memorizzano sia gli account privati che quelli di lavoro.

I dipendenti Avira possono vedere le password di qualsiasi utente? Cosa vedrebbe un hacker se riuscisse a entrare in Password Manager?

No, noi non abbiamo mai accesso alle password dei nostri utenti. Tutti i dati sensibili degli utenti sono efficacemente crittografati sui nostri server cloud tramite la master password dell’utente. I dati vengono decrittografati a livello locale sul dispositivo dell’utente tramite la sua master password, che solo l’utente conosce.

Avira non memorizza mai la master password degli utenti e quindi non ha accesso ai loro dati sensibili.

Senza la master password, i dati non possono essere decrittografati nemmeno nel caso molto improbabile che un hacker si introduca nei nostri server back-end e rubi i set di dati degli utenti. Questo evidenzia l’importanza della master password: è la porta d’accesso ai dati dell’utente, quindi è fondamentale sceglierne una molto forte e sicura. Ci sono tre pilastri che definiscono la forza di una password. Ognuna dovrebbero essere:

  • Lunga: più lunga è la password, migliore è la protezione di un account dagli attacchi di forza bruta.
  • Casuale: scegliere una password casuale significa, ad esempio, che è meno probabile che venga indovinata tramite l’ingegneria sociale.
  • Unica: la master password deve essere utilizzata una sola volta e mai per un altro account, inclusi account passati o futuri. Se un altro account viene compromesso e la rispettiva password viene rubata, l’hacker potrebbe anche essersi impadronito della password necessaria per decrittografare i dati dell’account del password manager dell’utente.

Per una maggiore protezione, Avira consiglia a tutti gli utenti di attivare la verifica in due fasi per accedere al proprio account Avira.

Secondo te, quali sono le peggiori abitudini in materia di password e quali sono i motivi principali che portano a ritrovarsi con password rubate e account hackerati? Si tratta di una mancanza di interesse, di conoscenza, di consapevolezza o di altre questioni da parte dell’utente?

Il problema non è essere consapevoli, ma agire! Secondo lo studio tedesco DSiN Sicherheitsindex del 2019, quasi tutti sanno quanto è importante scegliere password efficaci e quali sono le loro caratteristiche. Eppure, solo circa il 25% di noi utilizza un password manager. E gli altri cosa fanno? O, ancora più importante, cosa non fanno?

La maggior parte delle persone cerca di memorizzare le proprie password. È un modo pratico che consente di accedere facilmente a qualsiasi servizio, ovunque ci si trovi.  Nessuno è in grado di memorizzare un mucchio di password diverse e complesse, quindi ne utilizzano una sola o varie ma molto simili per più account. Una delle preferite è ovviamente un’informazione personale, come il nome del cane o del gatto o i compleanni. Il problema è che queste informazioni sono facilmente intuibili attraverso l’ingegneria sociale o la ricerca di dati pubblici disponibili sui social media.

Quindi, le persone conoscono le insidie, eppure continuano ad adottare queste cattive abitudini? Perché? Molti non sanno che esistono validi strumenti in grado di aiutarli a gestire le proprie password in modo sicuro e semplice. Altri semplicemente non si preoccupano, pensando che “ci sono talmente tante persone, perché dovrebbe capitare proprio a me?”. Non si rendono conto di quanto siano vulnerabili: infatti gli hacker sono ben organizzati e per forzare un account provano automaticamente interi database di password deboli e rubate.

Cosa si deve e si può fare per migliorare le pratiche e i comportamenti relativi all’uso e alla gestione delle password?

Dovete scegliere uno strumento di cui vi fidate, e usarlo! Una buona gestione delle password significa avere password lunghe, casuali e uniche per ogni singolo account. Nessuno è capace di memorizzare svariate password forti o tenerle a portata di mano quando servono. Il modo più semplice, più sicuro e più efficiente di gestire le password è con un buon password manager.

Per iniziare a usare un gestore di password, innanzitutto bisogna inserirvi tutti gli account online. Quest’operazione può essere eseguita sia importando le password da un’altra fonte (ad esempio un browser), sia aggiungendole a mano o semplicemente accedendo all’account e confermando la finestra pop-up sicura.

Il secondo passaggio consiste nell’iniziare a cambiare tutte le password utilizzando un generatore di password. Consigliamo di configurare il generatore in modo che crei password lunghe di circa 20 caratteri. Una volta fatto questo, congratulazioni! Siete già al sicuro.

L’ultimo suggerimento è di attivare l’autenticazione a due fattori (2FA) per i vostri account, quando è possibile. Molti servizi lo consentono, tra cui PayPal, Google, Amazon e LinkedIn. L’app mobile di Avira Password Manager dispone di un generatore di 2FA integrato che permette di gestire facilmente gli account online con la 2FA dall’interno di Password Manager e di recuperare i codici ogni volta che si effettua il login.

Perché le persone dovrebbero fidarsi di Avira Password Manager?

Siamo specialisti della sicurezza pluripremiati, orgogliosi della nostra esperienza trentennale. Oltre 100 milioni di clienti soddisfatti in tutto il mondo si affidano ad Avira per mantenere al sicuro i loro dati e la vita digitale. Il nostro software è Made in Germany e i nostri server su cloud sono situati in Germania, in conformità con la severa normativa UE sulla privacy.

 

 

Content Manager
Former journalist. Storyteller at heart.